Existe hoje algum motivo para ter vários domínios em uma floresta?

Question

Existe hoje algum motivo para ter vários domínios em uma floresta?

#1 resposta do (5 votos)
#2 resposta do (4 votos)

4

Eu tenho lido muito tentando descobrir por que eu criaria uma arquitetura de "vários domínios - uma floresta", mas não encontrei nenhum bom motivo para isso. Cheguei à conclusão de que é melhor usar "um domínio e delegações" ou "vários domínios com relações de confiança".

Existe uma citação que é central para mim:

"Como um domínio não é um limite de segurança, é possível que um administrador de serviço mal-intencionado, como um membro do grupo Admins. do Domínio, use ferramentas e procedimentos não padrão para obter acesso total a qualquer domínio na floresta ou Por exemplo, os administradores de serviço em um domínio não raiz podem se tornar membros do grupo Administradores de Empresa ou Administradores de Esquemas. "(Source )

Existe alguém que possa pensar em um cenário em que você usaria uma floresta com vários domínios?

Obrigado

windows active-directory

por CHfish 03.10.2012 / 17:56

2 respostas

Tags windows active-directory

Armazene as senhas do sistema com acesso fácil e seguro Como posso conectar dois escritórios uns aos outros?

score 5 · Answer 1

Estou usando uma floresta de domínio duplo neste exato momento para migrar uma empresa de um domínio mal dividido e mal configurado para um que configurei corretamente.

Evitar qualquer tempo de inatividade em uma migração de domínio é certamente um caso de uso muito importante para florestas com vários domínios.

Claro, se você não tem um motivo para precisar de um, fique com uma única floresta de domínio. Se / quando você precisar de vários domínios, você saberá, e não há motivos para adicionar complexidade a uma floresta do AD, especialmente quando você não ganha nada com isso.

score 4 · Answer 2

A resposta curta à sua pergunta é não. Geralmente, não há boas razões para florestas com vários domínios. A orientação antiga, que é praticamente inalterada, era fornecer autonomia e / ou controlar a replicação.

Essa "autonomia" incluiu políticas de senha separadas. Se uma organização necessitasse de várias políticas de senha, a única maneira de alcançá-la seria com vários domínios. O Windows Server 2008 solucionou isso com Políticas de senha refinadas.

A outra, a replicação, ainda pode ser um fator atenuante, mas as melhorias nas topologias da WAN e na Replicação do AD realmente eliminaram esse argumento também.

Quanto ao backup / recuperação ou ao DR, a floresta com vários domínios ou a raiz vazia da floresta não facilita o backup e a recuperação. De fato, em um cenário de recuperação florestal, isso torna mais difícil.